从ISA迁移到TMG的全过程详解文档图文Word文档格式.docx
《从ISA迁移到TMG的全过程详解文档图文Word文档格式.docx》由会员分享,可在线阅读,更多相关《从ISA迁移到TMG的全过程详解文档图文Word文档格式.docx(52页珍藏版)》请在冰豆网上搜索。
3.4.2客户端的安装-30-
3.4.3身份验证-33-
3.5TMG2010的备份与恢复-34-
3.5.1阵列的备份和还原-34-
3.5.2策略的备份和还,-34-
四、问题与解决方案:
-35-
一、软件说明
软件名称:
TMG2010
用途:
安全类
功能特点:
网关级防火墙。
可实现HTTPS扫描、VPN、入侵防护、网络检查系统NIS、URL过滤、IPS冗余链路、增强的NAT、WEB反恶意软件等。
授权类型:
商业软件
软件来源:
安装光盘
简介:
在2009年10月,微软正式发布了ForefrontTMG的RC(发行候选)版本,这代表离TMG的正式发布已经不远了。
作为微软三年磨一剑的产品,ForefrontTMG是具有划时代意义的企业级网络安全产品。
这种意义主要体现在以下四个方面:
∙企业级的整合与管理;
∙架构变更与提升;
∙Web反病毒与过滤;
∙人性化管理与集成操作。
2010于美国当地时间2009年11月16日正式发布。
与ISA2006相比,TMG新增许多功能,具体对比如下:
二、方案测试准备
此网络中原来是以图中心安装ISA2006的主机为网关服务器,本次实验主要在于用TMG2010替换ISA2006充当网关防火墙,实现TMG2010中的新功能。
●内部区域包括一台域控制器、一台域成员计算机、
●DMZ区包括一台内网的WEB服务器,要通过TMG发布到公网上
●外部区域包括一台ISP的DNS服务器、和一台外网的WEB服务器,此服务器也充当外网的VPN客户端
本测试中的计算机配置参数如下表:
计算机名
IP地址
网关
DNS
功能
操作系统
AD-SERVER
10.11.10.2/24
10.11.10.1
10.11.10.2
DC、DNS
03SP1
AD-CLIENT
10.11.10.6/24
219.149.194.55
测试客户端
ISA2006
内部10.11.10.2/24
外部172.16.18.51/24
外围10.11.10.5/24
172.16.18.150
172.16.15.51
域成员
网关防火墙
08R2
FTP
172.16.18.57/24
--
公网FTP
VPN
172.16.18.56/24
VPN客户端
08
2.3硬件环境要求
TMG服务器
硬件
最低要求
推荐配置
CPU
双核心
四核心
内存
2GB
4GB
硬盘
2.5GB
更多
网卡
至少一个
2.4操作系统要求
TMG服务器操作系统:
windows2008sp2或windows2008r2
ISA2006操作系统:
windows2003sp1以上
2.5软件环境要求
软件要求:
NetworkPolicyServer
RoutingandRemoteAccessServices
ActiveDirectoryLightweightDirectoryServicesTools
NetworkLoadBalancingTools
WindowsPowerShell
Microsoft.NETFramework3.5SP1
WindowsWebServicesAPI
WindowsUpdate
MicrosoftWindowsInstaller4.5
3.1实验环境搭建
3.1.1域环境搭建
(一)配置AD-SERVER的IP地址为10.11.10.2/24,DNS:
10.11.10.2。
(二)单击“开始”,选择“运行”,输入DCPROMO运行AD安装向导。
(二)单击“下一步”进入“操作系统兼容性”界面,该界面介绍了一些对于加域中的计算机的要求。
(三)单击“下一步”进入“域控制器类型”界面,在这里选择你要安装的域迭制器类型,这里我们选择“新域的域控制器”。
(四)单击“下一步”进入“创建一个新域”界面,在这里选择“在新林中的域”因为此域控是第一台域控制器。
(五)单击“下一步”进入“新的域名”界面,在这里输入你要创建的域名,在文本框里输入“”。
(六)单击“下一步”会出现一个“NETBIOS域名”界面,显示“域NETBIOS名”这里确认即可。
(七)单击“下一步”会出现“数据库和日志文件夹”界面,提示你选择把AD的数据库和日志文件存储的位置。
(八)单击“下一步”会出现“共享的系统卷”界面,此界面让你选择SYSVOL文件的存放位置,注意SYSVOL文件夹必须放在NTFS分区上。
(九)单击“下一步”会出现“DNS注册”会提示你没有DNS响应,这里我们选择第二项“在这台计算机上安装并配置DNS服务器,并将这台DNS服务器设为这台计算机的首选DNS服务器”
(十)单击“下一步”,进入“权限”界面,选择域的模式,这里选择“只与WINDOWS2000或WINDOWSSERVER2003操作系统兼容的权限”
(十一)单击“下一步”进入“目录还原模式的管理员密码”配置界面,这里需要我们输入还原模式的密码,也可不输入跳过此项,不过建议还是设置。
(十二)单击“下一步”进入“摘要”界面,这里会显示你的设置信息,这里无须更改。
(十三)单击“下一步”进入安装界面,待安装完成后会进行重启。
3.1.2修改HOSTOS文件指定DNS
本次测试中所有需要域名解析的都采用修改HOSTS文件的方式来完成。
举例,外网计算机(实验环境中)要访问从ISA发布出来的网站,由有没有DNS进行相应的解析所以无法通过域名访问,这里就需要通过更改HOSTS文件达到实验中的效果。
在要访问网站的计算机上打开“我的电脑”,进入C盘,依次打开如下路径:
windows/system32/dervice/etc/,在ETC文件夹下找到HOSTS文件。
用计事本打开HOSTS文件,在文件中添加如下记录(根据实验环境而定的):
172.16.18.51
然后保存。
然后在运行中输入“cmd”然后PING成功指向172.16.18.51地址。
3.1.3ISA2006安装
(一)首先放入ISA2006的安装光盘,双击运行。
选择“安装ISA2006”。
(二)弹出欢迎界面,这里单击“下一步”。
(三)进行“许可协议”界面,这里选择“我接受许可协议中的条款”,单击“下一步”
(四)进入客户信息界面,这里需要我们输入:
用户名、单位、产品序列号。
输入后,点击“下一步”。
(五)这里要求我们选择安装类型,默认使用“典型”即可。
单击“下一步”。
(六)这里要我们指定内部网络的范围,点击“添加”,弹出“地址”标题框,这里我们选择“添加范围”,然后输入内网的IP范围,确定即可。
单击“下一步”
(七)进入“防火墙客户端连接”界面,这里要求ISA防火墙与ISA客户端之间的通信进行加密,所以不进行勾选。
(八)这时会出现“服务警告”界面,提示你安装ISA的过程中,哪些服务会重启或被禁用。
(九)这时会有提示,你可以再进行相应的配置更改,如无需更改,继续点击“安装”进入安装界面。
安装完成后会有提示。
(十)安装完成后进行测试,用内网计算机PING网关IP,发现无法PING通,PING外网计算机也无法PING通,这说明ISA防火墙策略己经生效,因为ISA防火墙默认添加一条规则,禁止“从所有网络”到“所有网络”
3.1.4更改ISA2006防火墙模板
(一)单击“开始”—“程序”—“MicrosoftISAserver”—“ISA服务器管理”,打开ISA防火墙。
(二)打开左侧“配置”菜单栏,选择网络,然后在右侧选择“模板”栏,选择“3向外围网络”,进入“网络模板”向导。
(三)这时会提示你要更改网络配置会覆盖原来的配置,请你保存原有的配置,如果需要保存的话选择“导出”进行保存。
(四)单击“下一步”这里需要你输入内网IP地址范围,单击“下一步”这里需要你输入外围网络IP地址范围。
(五)单击“下一步”这里会让你选择一个系统自带的防火墙策略,也可以选择“无限制的访问”,以后再根据需要进行更改。
(六)单击“下一步”会生成你的配置信息,确认无误后。
点击“完成”。
最后单击“应用”实现配置。
配置完成后会覆盖所有原来的策略!
!
3.1.5搭建DMZ区WEB服务器
(一)在DMZ-WEB主机上点击“开始”—“控制面板”—“添加或删除程序”。
(二)点击左侧“添加/删除WINDOWS组件”。
勾选“应用程序服务”,然后点击“下一步”进行安装。
(三)安装完,依次点击“开始”-“所有程序”-“管理工具”,选中“Internet信息服务”。
在弹出的“IIS管理器”中依次展开“本地主机”-“网站”右键“网站”选择“新建网站”,点击“下一步”。
输入对网站的描述然后点击“下一步”。
在“网站的IP地址”中选择本地的IP地址,“网站TCP端口”选择默认的80即可,“此网站的主机头”填写WWW.TEST.COM,然后点击下一步。
这里选择事先准备好的存放网站的目录,点击“下一步”。
在这里勾选“读取”和“浏览”即可,点击“下一步”,然后点击“完成”。
(四)停止“默认网站”。
3.1.6如何配置ISA访问规则
(一)右键点击“防火墙策略”—“新建”—“访问规则”。
(二)输入此规则的名称,点击“下一步”。
(三)在这里选择“允许”或是“拒绝”。
(四)根据你的需要选择允许通过的协议。
(五)在这里选择通讯的来源,可以是某个计算机、某段IP地址、内部或是外围等。
(六)在接下来的界面里选择目的通讯地址,可选内容同上
(七)选择此规则应用的用户。
(八)这时会生成规则配置信息。
确认无误后点击“完成”。
再单击“应用”完成配置。
配置访问规则:
内网和本地主机访问外网
(一)在“防火墙策略”上右键,选择“新建”—“访问规则”
(二)规则如下:
名称:
允许访问外网;
动作:
允许;
协议:
所有出栈通讯;
源:
内部、本地主机;
目地:
外部
用户:
所有用户。
允许远程桌面到ISA
(一)右键“防火墙策略”—“所有任务”—“系统策略”—“编辑系统策略”。
(二)在左侧“远程管理”文件夹中选择“mircrosoft管理控制台”,单击“从”选项卡,单击“远程管理计算机”选择“编辑”然后单击“添加”输入ISA服务器外网卡的IP地址,然后确定退出。
(三)规则如下:
允许外网远程到ISA;
RDP终端服务;
外网;
远程管理计算机
3.1.7ISA2006配置策略的导出
(一)打开ISA2006管理工具,在ISA2006中,右击ISA2006-SERVER计算机名,选择“导出”。
(二)在“导出首选项”中,选择“导出机密信息”与“导出用户权限设置”,并且设置保护密码。
点击“下一步”。
(三)指定导出的文件位置,点击“下一步”,然后点击“完成”。
(四)用同样的方法导出“防火墙策略”和“虚拟专用网策略”。
3.2安装TMG2010
3.2.1安装TMG2010之前的更改
(一)先通过共享的方式,把在ISA2006-SERVER计算机上的ISA2006配置策略备份拷贝到AD-SERVER计算机中。
然后把ISA2006-SERVER计算机关闭。
(二)配置TMG2010计算机的IP地址与ISA2006完全相同。
把TMG2010加入到域中。
3.2.2开始安装TMG2010
(一)使用域管理员账号登陆到TMG2010计算机上。
(二)放入安装光盘,自动运行。
点击“运行准备工具”,单击“下一步”,同意许可协议,点击“下一步”。
选择要安装的类型,因为只有一强TMG服务器,所以选择“FOREFRONTTMG服务和管理”点击“下一步”这时候会进入检查阶段,主要检查计算机上是否安装了要求的软件,如果没有这里会自动安装该软件。
安装完成后默认选择进入“启动FOREFRONTTMG安装向导”。
(三)点击“下一步”然后接受协议许可,点击“下一步”。
,这里要求输入客户信息和产品序列号,点击“下一步”。
这里选择TMG的安装路径(TMG只可安装在NTFS分区上)然后点击“下一步”。
这里要求我们输入内网的IP范围,根据实验环境这里输入“10.11.10.0-10.11.10.100”确定,。
然后点击“下一步”。
这时候会提示你安装的过程中有哪些服务会进行重启,单击“下一步”—“安装”。
安装完成后点击“完成”即可
3.3配置TMG2010
3.3.1策略迁移
(一)通过共享把AD-SERVER中保存的ISA2006配置策略拷贝到TMG2010计算机上。
(二)点击“开始”—“程序”—“FOREFRONTTMG”—“FOREFRONT管理”。
关闭配弹出的配置向导。
(三)右键TMG2010计算机名称,选择“导入”,点击“浏览”找到拷贝的服务器策略,点击“下一步”此时会提示,你导入的是早期版本的TMG配置,单击“确定”即可。
(四)键入密码,这是在导出ISAServer2006时所设置的。
点击“下一步”,然后点击“完成”。
导入完成后会出现如下信息:
策略导入完成后点击“应用”。
如果没有VPN配置,则不用重新启动计算机,当前导入的设置会立刻生效。
(五)然后再依次用相同的方法导入相应的“VPN策略”、“防火墙策略”。
3.3.2L2TP--VPN配置
L2TP-VPN之预共享密钥方式验证
这种模式下的VPN,只要在VPN服务器和VPN客户端上都设置一个事先约定好的密码做为身份标识。
(一)首先在域控制器AD-SERVER上建立一个允许拨入的账号。
具体操作:
单击“开始”—“程序”—“管理工具”—“ActiveDriectory用户和计算机”启动AD用户和计算机管理界面。
在“Users”文件夹上右键选择“新建”—“用户”这里以小涛为例,输入相应的信息。
在建立完成用户后,双击该用户。
在弹出的“属性”中选择“拨入”选项卡。
选中“允许访问”确定选择。
(二)配置拨入用记完成后,需要在VPN服务器上也就是TMG防火墙上进行相应的配置,在TMG的左侧选中“选程访问策略”,然后在右侧的任务中选择“配置VPN客户端访问”在“常规”先项卡中勾选“启用VPN客户端访问”,在“允许最大VPN客记端数量”输入100.选择“组”选项卡,单击“添加”在“查找位置”中选中域“”确定。
然后点击“高级”—“立即查找”,选中“domainusers”因为创建的账户属于普通的域用户组,然后确定。
在“协议”选项卡中选择“启用L2TP/IPSEC”然后点击“确定”—“应用”完成配置。
选中“定义地址分配”—“添加”在这里输入一段IP地址为拨入的VPN用户分配,服务器选择本机。
在“身份验证”选项卡中勾选“允许L2TP连接自定义IPSEC策略”在“预共享密钥”中输入密钥:
chinabap。
然后点击确定,完成VPN服务器的配置。
(三)在要进行VPN拨入的计算机上建立一个VPN连接。
然后设置该VPN连接的属性。
在“常规”选项卡中输入你要连接到的目地地址。
在“网络”选项卡选择“L2TPIPSECVPN”在“安全”选项卡点击“IPSEC设置”勾选“使用预共享的密钥作身份验证”在文本框中输入chinabap,然后一路确定退出。
(四)开始进行拨入测试,用建立的用户和密码进行拨测。
拨入成功后会在桌面的右下角出现一个小电脑图标,详细信息如下:
L2TP-VPN之证书验证
(一)在ad-server上搭建独立根CA证书服务。
点击“开始”—“控制面板”—“添加或删除程序”,点击“添加删除windows组件”先勾选中“应用程序服务器”点击“详细信息”,选中ASP.NET、internet信息服务、启用网络com+访问、应用程序服务控制台。
然后点击“确定”—“完成”。
开始进行安装IIS。
(二)IIS安装完成后再勾选“证书服务”点击“下一步”,选择“独立根CA”,输入此CA的公用名称“ad-”,然后点击“下一步”进行安装,其间会停止IIS服务一次。
(三)在ad-server计算机上运行certsrv.msc运行证书颁发程序,在证书服务器上右键选择“属性”,在“策略模块”选项卡上点击“属性”,选择第二项“如查可以的话,按照证书模板中的设置”。
然后确定。
之后需要重启证书服务生效。
(四)在tmg-server计算机上把10.11.10.2添加到信任站点中,并把本地INTERANET的安全级别调到低。
并在TMG上创建一个规则允许所有出站协议从本地主机到内部。
(五)在tmg-server计算机上打开IE,在地址栏里输入http:
//10.11.10.2/certsrv,单击“下载CA证书、证书链或CRL”,再点击“下载CA证书”把证书保存到本地。
(六)单击“开始—运行”输入MMC,在控制台里点击“文件”选择“添加/删除管理单元”
在左证选择“证书”添加当前用户和本地计算机。
点击完成。
(七)在上图中展开“证书(本地计算机)”,导入刚才下载下来的证书
(八)如上一样,打开IE,输入http:
//10.11.10.2/certsrt,选择“申请证书”—“高级证书申请”—“创建并向此CA提交一个申请”,按如下填写,注意姓名要填计算机的名字。
(九)然后点击“提交”。
因为设置了自动颁发,这里会直接弹出让你安装此证书。
单击“安装”即可,此时该证书安装到了用户个人存储中,我们必须要再次打开刚才的MMC证书控制台,把个人用户里的这个证书带私钥导出,然后再导入到计算机个人存储有里。
(十)如上图导出证书和私钥,按提示进行即可,其间需要输入保护密码。
(十一)导出之后再把证书导入到本地计算机如下图
(十二)在客户端上申请CA证书,方如上tmg-server过程一样,需要注意的是以下几个画圈的地方,客户端申请的时候下边要选择“客户端身份验证证书”密钥要勾选可以导出。
客户端要申请证书可通过以下几个方式:
1.先在TMG上设置PPTP-VPN,远程客户拨入再申请;
2.客户端先申请证书之后再离开所在内网。
(十三)在tmg-server上打开TMG管理控制台,选择“远程访问策略VPN”在右侧任务中选择“配置VPN客户端”,在协议选项卡上选择“启用L2TP/IPsec”,然后确定应用。
客户端上选反VPN属性,在“网络”选项卡里找到VPN类型,选择“L2TPIPSECVPN”,然后确定。
拨入之后查看VPN详细信息如下
如果证书有错误会出现835,没有证书会出现781、800连接不上
3.3.3增强的NAT
在更设置NAT之前,内部客户端反问外网都会NAT转换成默认的IP地址“172.16.18.51”
(一)点击“防火墙策略”在右侧选择“工具”选项卡,点击“新建”—“计算机”。
这里输入名称“CLIENT”,计算机IP地址用内部的测试客户端的IP“10.11.10.6”点击确定。
(二)在右侧选中“网络”,点击中间的“网络规则”选项卡,在右侧的“任务”选项卡中选择“新建规则”。
(三)输入规则的名称“client->
ftp”点击“下一步”;
在来源中添加刚才创建的CLIENT计算机,点击“下一步”;
在目标通讯中添加“外部”,点击“下一步”;
在网络关系中选择“网络地址转换NAT”,点击“下一步”;
在NAT地址中选择“使用指定的IP地址”,在下拉框中选中“172.16.18.56”,点击“下一步”—“完成”。
在CLIENT计算机上用FTP连接到站点,在FTP服务器上显示的IP为“172.16.18.56”。
3.3.3HTTP发布
(一)找开“FOREFRONTTMG管理”点击“防火墙策略”,在右侧任务栏上点击“发布WEB”。
(二)输入WEB发布规则名称:
DMZ’WEB,点击“下一步”。
(三)在符合规则条件时要执行的操作中选择“允许”,点击“下一步”。
(四)发布类型选择“发布单个网站或负载平衡器”。
(五)服务器连接安全中选择“使用不安全的连接发布的WEB服务器或服务器场”因为这里要发布HTTP。
(六)“内部站点名称”这里输入你内问想要访问使用的名称。
在“使用计算机名或IP地址连接到发布的服务器”输入要发布的WEB服务器的IP地址,这里输入“10.12.10.2”。
(七)在“路径”输入“/*”发布所有,点击“下一步”。
(八)在“公用名称”输入“”点击“下一步”。
(九)这里要求选择一个WEB侦听器,之前没有创建,这里新建一个。
点击“新建”,输入侦听器的名称,这里输入“WEB-80”,点击“下一步”。
选择“不需要与客户端建立SSL安全连接”,点击“下一步”。
在“侦听这些网络上的传入WEB请求”中选择“外部”,点击“下一步”。
选择“没有身份验证”,点击“下一步”—“下一步”—“完成”。
然后选中此侦听器,点击“下一步”。
(十)选择“无委派,客户端无法直接进行身份验证”,点击“下一步”。
(十一)这里选择“所有